Во-первых, для этого конкретного эксплойта уже два дня как есть модуль в Metasploit Framework. Это означает, что любой подросток на планете может им воспользоваться. Во-вторых, Adobe выпустит исправление этой уязвимости только 12 января . В-третьих, давно пора написать о средствах защиты от уязвимостей подобного рода. И в-четвертых, client-side с недавних пор является моим излюбленным вектором атаки во время тестов на проникновение.
Для начала, что делать.
- Если это возможно, отказаться от использования продукции компании Adobe. Просматривать PDF-файлы можно в FoxIt Reader или Google Docs . Первый вариант -- это небольшая и удобная программа-просмотрщик. Второй вариант снимает вопрос полностью, так как в этом случае PDF-файл открывается не на вашем ПК, а на сервере Google.
- Если по каким-то причинам это (п. 1) не возможно, отключить JavaScript. Сделать это можно в меню Edit/Preferences/JavaScript/Enable Acrobat JavaScript. Я не знаю, зачем в PDF-ах javaScript, наверное Adobe знает, поэтому и устанавливает эту опцию включенной по умолчанию. Отключение JavaScript от всех бед не убережет, но большинство эксплойтов просто не запустится.
- В любом случае и в любых обстоятельствах следовать правилам персональной безопасности в Интернете.
- Не открывать письма из незнакомых источников. Вообще. Удалять до прочтения. Не помещать в спам! Индексация Google Desktop или Windows Search может запустить фоновый просмотрщик документа и тогда все труды насмарку!
- Не открывать вложения в подозрительных письмах, а еще лучше -- во всех письмах, прочтение которых для вас не является необходимым. Примеры: PowerPoint-презентации с зевающими котами и восхитительными пейзажами, PDF-ки с прикольными карикатурами и так далее.
- Использовать антивирус . Да, он неспособен предотвратить целенаправленную атаку , но все-таки иметь антивирус лучше, чем не иметь. Впрочем, решать вам.
- Обновлять ПО по мере выпуска исправлений. Подробнее в этом посте .
Теперь об уязвимости. Это ошибка в обработчике формата файла. Позволяет выполнить произвольный код с правами текущего пользователя -- еще один аргумент не входить в Windows с правами администратора. "Зараженные" документы свободно циркулируют в диком Интернете: рассылаются со спамом и распространяются через вредоносные сайты.
Пару слов о хорошем. Сдается мне, что CTF ивент в эту субботу таки состоится. Сегодня освободилось одно место в "Красной" команде, желающие могут присоединиться.
